So sichern Sie Postfix auf Ubuntu Server

14

Ich richte einen neuen VPS-Server mit LEMP ein. Jetzt fehlt nur noch der Mailserver. Muss ich etwas Besonderes tun, um es sicher zu machen? oder ist es bereits gesichert, wenn die installation abgeschlossen ist?

Ich denke, der richtige Begriff ist das Verhärten von Postfix. Ist das sinnvoll?

Timmy
quelle

Antworten:

23

Es gibt viele Anleitungen online bezüglich der Konfiguration und der Schritte zum 'Härten' von Postfix.

Dieser mit freundlicher Genehmigung von http://security-24-7.com/hardening-guide-for-postfix-2-x/

Härtungsanleitung für Postfix 2.x.

Stellen Sie sicher, dass Postfix mit einem Nicht-Root-Konto ausgeführt wird:

ps aux | grep postfix | grep -v '^root'

Ändern Sie die Berechtigungen und die Eigentümerschaft für die folgenden Ziele:

chmod 755 /etc/postfix
chmod 644 /etc/postfix/*.cf
chmod 755 /etc/postfix/postfix-script*
chmod 755 /var/spool/postfix
chown root:root /var/log/mail*
chmod 600 /var/log/mail*

Bearbeiten Sie die Datei mit nano oder vi /etc/postfix/main.cfund nehmen Sie die folgenden Änderungen vor: Ändern Sie den Wert für myhostname so, dass er dem externen vollqualifizierten Domänennamen (FQDN) des Postfix-Servers entspricht. Beispiel:

myhostname = myserver.example.com

Konfigurieren Sie die Netzwerkschnittstellenadressen, die der Postfix-Dienst überwachen soll, zum Beispiel:

inet_interfaces = 192.168.1.1

Konfigurieren Sie vertrauenswürdige Netzwerke, zum Beispiel:

mynetworks = 10.0.0.0/16, 192.168.1.0/24, 127.0.0.1

Konfigurieren Sie den SMTP-Server so, dass ausgehende E-Mails als von Ihrer DNS-Domäne stammend maskiert werden. Beispiel:

myorigin = example.com

Konfigurieren Sie das SMTP-Domänenziel, zum Beispiel:

mydomain = example.com

Konfigurieren Sie, an welche SMTP-Domänen Nachrichten weitergeleitet werden sollen. Beispiel:

relay_domains = example.com

Konfigurieren Sie das SMTP-Begrüßungsbanner:

smtpd_banner = $myhostname

Denial-of-Service-Angriffe begrenzen:

default_process_limit = 100
smtpd_client_connection_count_limit = 10
smtpd_client_connection_rate_limit = 30
queue_minfree = 20971520
header_size_limit = 51200
message_size_limit = 10485760
smtpd_recipient_limit = 100

Starten Sie den Postfix-Daemon neu:

service postfix restart
Kai
quelle
1
sehr beeindruckend, tks
Timmy
6
Ich denke auch, dass Sie den VRFY-Befehl deaktivieren sollten, damit Benutzernamen nicht einfach aufgezählt werden können. ja postconf -ev disable_vrfy_command =
Mark S.
2
Beachten Sie, dass / usr / lib / postfix / sbin / Master - Prozess kann als root ausführen und das ist in Ordnung - siehe security.stackexchange.com/questions/71922
Jan Żankowski